Nastavení síťového routeru A-Z (2/2)
autor: Plexo , publikováno 15.8.2008
Seznam kapitol
1. ISO/OSI model
2. Firewall
3. Remote management
4. Nastavení dynDNS
Nastavení síťového routeru A-Z (2/2)

Včera jsme si vysvětlili základy a na jednoduchých příkladech vysvětlili základní funkce. Dneska půjdeme trošku do hloubky a rozebereme si systém fungování sítí podle modelu ISO/OSI. Také se dozvíte jak nastavit správně priority u QoS, prohrajeme si s firewallem, DynDNS službou a samozřejmě vzdálenou správou routeru.


Router také podporuje dynamické DNS, které umožňuje mít modem dostupný z internetu dle pevného jména ( Hostname) místo měnící se IP adresy od DHCP serveru na WAN portu. DynDNS lze tedy použít, pokud poskytovatel Internetu nepřiděluje pevnou IP adresu a ve své síti chcete vytvořit webový server apod. Pro používání dynamického DNS je nutné se registrovat u jednoho z poskytovatelů této služby. Router podporuje DynDNS.org, oray.net a comexe.cn

Pokud si vyberete DynDNS.org pak si na těchto stránkách vytvoříte účet se jménem, heslem a po registraci a potvrzení přidáte na stránkách dyDNS.org jméno hosta (Hostname). Hostname se skládá z Vámi vybraného jména a volné domény, kterou si lze na DynDNS.org vybrat z nabídky. Hostname bude tedy např. ve tvaru: jmeno.homeftp.net

Nastavení síťového routeru A-Z (2/2)

K jménu se přiřadí aktuální IP adresa na WAN části od DHCP serveru poskytovatele. Pokud později DHCP server adresu změní, DynDNS převede Hostname na novou IP adresu. Tyto údaje se poté zadají do modemu. Na router, web server atd. se pak lze dostat vždy zadáním „jmeno.homeftp.net“ do prohlížeče kdekoliv na Internetu.

Nastavení statického směrování

Toto nastavení se využije zejména při vytváření dalších podsítí, které se nacházejí za routerem na LAN/WLAN části. Pro další popis bude vhodné, když se zmíním o masce sítě. Maska sítě určuje maximální rozsah sítě – počet volných IP adres a zda daná IP adresa do sítě patří nebo ne.

Stejně tak jako IP adresa, má maska velikost 32 bitů v síti typu IPv4 a lze se setkat se dvěma druhy zápisu:

  • a) Za lomítkem za IP adresou - /24. Takto zapsaná maska sítě určuje počet bitů. Rozsah může být tedy 0-32. S tímto zápisem se setkáme zejména v Linuxu.
  • b) Dekadicky – převodem z dvojkové soustavy stejně jako IP adresa. Rozsah může být tedy 0-255. Přestože firmwary SOHO routerech bývají založené na Linuxu, setkáme se u nich nejčastěji s tímto zápisem.

Maska sítě v binární podobě 11111111 11111111 11111111 00000000 bude mít tedy zápis /24 nebo 255.255.255.0. V takové síti může být až 254 počítačů. Maska 11111111 11111111 11111111 11111100 bude mít zápis /30 nebo 255.255.255.252. Taková maska se využíje např. ve VPN tunelu, jelikož do sítě lze připojit pouze 2 počítače.

Celá síť se označí např. takto: 192.168.1.0/24 v síti budou všechny počítače s IP adresami 192.168.1.1 až 192.168.1.254. Pokud budeme mít 3 počítače s adresami 192.168.1.6 192.168.1.60 a 192.168.3.15 pak v síti 192.168.1.0/24 budou pouze první dva. Pokud budeme chtít směrovat pakety s libovolnou IP adresou, provedeme to zápisem 0.0.0.0/0, což značí všechny adresy.

Představme si nyní modelovou situaci, kdy za náš router v síti 192.168.1.0/24 připojíme ještě sousedův router na síti 192.168.9.0/24 s vypnutým překladem adres NAT. Soused má navíc podnikavého ducha, a tak než si vydělá na profesionální router a optickou přípojku, připojuje dále za úplatu externí klienty přes venkovní AP Nanostation2 s vlastní sítí 192.168.10.0/24

Celkové schéma sítě:

Nastavení síťového routeru A-Z (2/2)

Aby se dali sítě funkčně propojit, musí router vědět, kam má pakety směrovat. Každý paket si sebou nese IP adresu svého cíle např. 81.56.87.147. Pokud přijde paket od PC 1 s touto adresou na náš router, pak nejprve zjišťuje, zda adresa není pro PC v naší síti. Jelikož naše síť má rozsah 192.168.1.0/24, prohlédne svoji routovací tabulku, ve které je zapsána výchozí brána poskytovatele. Tu jsme dostali automaticky od jeho DHCP serveru. Router provede překlad adres NAT a zašle paket na bránu. Dále si již o paket nestará - je směrován přes brány v Internetu a „čeká“, až přijde případně odpověď.

Pakety tedy přeskakují z routeru na router - na výchozí brány dle routovací tabulky.

PC3 má nastavenu síť následovně:

Nastavení síťového routeru A-Z (2/2)

IP adresa DNS serveru je shodná s IP DNS na našem routeru od poskytovatele pro zjednodušení.

Pokud z PC 3 odejde paket s adresou 81.15.47.63, dostane se na sousedův router 192.168.9.1, jelikož je tato adresa nastavena ve vlastnostech síťového připojení. Sousedův router prohlédne routovací tabulku, a protože se v ní nenachází záznam co s paketem s adresou 81.15.47.63, zašle jej na svojí výchozí bránu 192.168.1.111, paket se dostane na náš router a dále je situace stejná, jako když by byl paket odeslán z PC 1.

V případě, že náš router obdrží odpověď, přijde mu paket s adresou 192.168.9.5. Kolem něj je však síť 192.168.1.0/24 a tak mu musíme přidat informaci, že všechny pakety s adresou na síti 192.168.9.0/24 musí směrovat přes router na 192.168.1.111.

Nastavení síťového routeru A-Z (2/2)

Pokud zašle Notebook 1 požadavek na adresu např. 82.98.125.458 je situace obdobná jako u PC3. Zde paket projde na nastavenou výchozí bránu v síťových připojení notebooku tj. 192.168.10.1. Na Nanostation2 je nastavena výchozí brána sousedova routeru 192.168.9.1 a dále se situace opakuje jako u PC3.

Po obdržení odpovědi z Internetu by náš router opět nevěděl, kam má poslat paket s adresou 192.168.10.5. Proto do našeho routeru přidáme další záznam:

Nastavení síťového routeru A-Z (2/2)

Takto se paket dostane na sousedův router, kolem kterého je však pouze síť 192.168.9.0 a proto i do něj musíme přidat statickou routu, která řekne, že vše co je pro síť 192.168.10.0/24 pošle na router 192.168.9.2.

Nastavení síťového routeru A-Z (2/2)

Na sousedově routeru tedy bude pouze jeden záznam navíc a v našem routeru dva. V případě většího množství záznamů lze nahradit v našem případě zápisy 192.168.9.0/24 a 192.168.10.0/24 jedním zápisem 192.168.0.0/16

Sítě lze samozřejmě i větvit, a pokud bychom k sousedovu routeru přidali další podsíť např. 192.168.11.0/24 připojenou k novému routeru s IP adresou 192.168.9.3, pak do routovací tabulky přibude záznam:

  • Destination IP address: 192.168.11.0
  • Subnet mask: 255.255.255.0
  • Deafult Gateway: 192.168.9.3

Nastavení síťového routeru A-Z (2/2)

Princip zůstává stejný: Směrujeme pakety pro vzdálené sítě (subnety) přes brány na lokálních sítích (daného routeru).

Závěrem

Musím ještě jednou připomenout, že se jedná o relativně jednoduché routery a routování pomocí PC s distribucí Linuxu nebo pomocí Mikrotiku a Cisco routerů je trochu o něčem jiném a lze vytvořit opravdu skvěle odladěnou profesionální síť. To se však dostáváme do jiných cenových hladin, i když nejlevnější víceportový routerboard RB450 se systémem Mikrotik lze již pořídit za 1070 Kč. Pro malou síť bude také dostačující. Princip routování však zůstává stejný jak u SOHO tak i profesionálních routerů.



 
Komentáře k článku
RSS
Pouze registrovaní uživatelé mohou přidat komentář!
15.8.2008 08:02:46   195.146.106.xxx 3811
Dobry den,
je pravda, ze chyb jste se v obecnem uvodu v tomto druhem dile vyvaroval, ale slibovana naprava vuci dilu prvnimu se jaksi nekonala. OSI model bez souvislosti se da diky linku pochopit a kazdy at si to nastuduje sam (otazkou je, zda to tedy vubec zminovat).
Masky IP adres se opet nevyskytly a naprava faktickych chyb z prvniho dilu (za nejvetsi povazuji chybne uvedene privatni rozsahy IP adres) se nekonala.

Pokud je cilem Vaseho clanku konfigurace soho routeru (jak predpokladam), venujte se tomu a obecny sitovy uvod uplne vyhodte. Usetrite si praci i spoustu nerudnych komentaru pod clankem...
Pokud ale chcete popsat sitove zaklady, venujte tomu vetsi pozornost (idealne cely clanek, jinak se dostavate do podobnych problemu). Par veci vytrzenych z kontextu a jeste s faktickymi chybami neni to prave orechove.

Samotny pruvodce nastavenim routeru typu TP-LINK je velmi dobry pocin a muze pomoci rade uzivatelu. Pokud potkate zarizeni i od jinych vyrobcu, bylo by pekne, kdybyste se podelil obdobnym zpusobem o znalosti, nebot kazdy vyrobce ma konfiguraci (vcelku podstatne, dle mych zkusenosti) jinou.
15.8.2008 12:24:59   193.85.153.xxx 134
Opravu masky a par dalsich drobnosti jsem provedl...
15.8.2008 16:40:33   84.180.113.xxx 136
Nevím jestli jsem opravdu tak hloupý, že jsem si musel poslední kapitolu číst několikrát, abych ji správně pochopil.

Např. odstavec „Aby se dalY sítě funkčně propojit, musí router vědět, kam má pakety směrovat. Každý paket si S sebou nese IP adresu svého cíle např. 81.56.87.147. Pokud přijde paket od PC 1 s touto adresou na náš router, pak nejprve zjišťuje, zda adresa není pro PC v naší síti. Jelikož naše síť má rozsah 192.168.1.0/24, prohlédne svoji routovací tabulku, ve které je zapsána výchozí brána poskytovatele. Tu jsme dostali automaticky od jeho DHCP serveru. Router provede překlad adres NAT a zašle paket na bránu. Dále si již o paket nestará - je směrován přes brány v Internetu a „čeká“, až přijde případně odpověď.“

Nyní pominu gramatické chyby..

Z věty „Pokud přijde paket od PC 1 s touto adresou na náš router, pak nejprve zjišťuje, zda adresa není pro PC v naší síti.“ vychází najevo, že packet zjišťuje, v které síti je potřebná IP adresa, jenže to má na práci router, stejně tak s routovacími tabulkami..
Myslím, že by postačilo větu jen malinko upravit a dosáhlo by se správné formulace „Pokud přijde paket od PC 1 s touto adresou na náš router, pak musí router nejprve zjistit, zda adresa pro PC není v naší síti...“
Nebo zmínka o tom, že router provede překlad adres NAT...nesouvisí tohleto spíš s tím, jestli hosti v síti mají veřejnou adresu, nebo ne? Pokud by byla tedy IP veřejná, tak by se žádný NAT překlad neuskutečnil.
„ a) Za lomítkem za IP adresou - /24. Takto zapsaná maska sítě určuje počet bitů. Rozsah může být tedy 0-32.“ Nemělo by tam spíš být 0-31 ? (v Linuxu se vůbec nevyznám, ale jen mi to tak padlo do oka).

Také by bylo určitě lepší u každého příkladu popsat kompletní směrování packetů a neodvolávat se na odstavec o půl stránky výše .

Mám za sebou kurz CCNA Discovery 1, ale správné pochopení článku mi dělalo trochu problém... Bojím se, že by si naprostý laik mohl odnést z článku nepravdivé, nebo zkreslené informace ...
15.8.2008 17:57:17   89.176.207.xxx 124
Clanek jiz komentovat nebudu. Jen k Vasemu dotazu na rozsah prefixu u ip adresy (pocet bitu za lomitkem).
Maximalni hodnota je opravdu 32 bitu a v tomto pripade to neni adresa site, ale adresa konkretniho uzlu cili hosta (masku, kterou vyjadruje tento prefix - 255.255.255.255 - jste urcite potkal). Lze a v praxi se opravdu pouziva. Jediny prefix, ktery v praxi nema smysl je 31. Ten by definoval sit o nulovem poctu pouzitelnych adres pro uzly, nebot by obsahoval pouze adresu site a broadcastu.
19.8.2008 20:47:40   92.60.62.xxx 144
31 bitova maska sa pouziva na point-to-point networky a funguje skvele. jedna strana pouziva hosta, druha sietovu adresu.
ide o jeden z doplnkov konzervacie dochadzajucich IPv4 adries
27.8.2008 09:33:53   195.146.106.xxx 112
Mate pravdu. To jsem netusil, ale dohledal v RFC 3021. Diky za upozorneni... Cisco boxy u teto masky vyhazuji chybovou hlasku.
27.8.2008 22:47:01   92.60.62.xxx 112
pravdepodobne to bude starsiou verziou IOS alebo sa to pokusate aplikovat na nejaky nepodporovany interface(mozno ide taktiez o spravanie catalystu, ak nepouzivate priamo router-nepisali ste na com ste sa to skusali aplikovat). Hoci je to urcene len pre point-to-point siete, je to mozne u cisca aplikovat aj na broadcastovu siet aka ethernet.
P2P siete ako HSSI, frame-relay, popr virtualny interface tunela prirodzene nie su ziadnym problemom
15.8.2008 20:40:56   195.212.29.xxx 136
Ocividne to neni clanek pro nekoho kdo uz ma CCNA (to sis mohl vsimnout)... zbytecne se navazis do autora...

btw. Pokud uz mas CCNA, tak ti neverim, ze ses se zapisem xxx.xxx.xxx.xxx/xx nesetkal.
15.8.2008 18:04:55   213.29.14.xxx 143
Doma jsem si sesíťoval za routerem už kdysi 3PC, přetože teorii sítí nerozumím. Vždy hltám tyto články, ale je to povrchní rychlokurz, údajně s omyly...
Přitom byste mohli při troše dobré vůle udělat široký seriál od základů k podrobnostem. Zaplácali byste několik headlines a konečně by bylo něco zajímavějšího než, že VGA "A" má o 5FPS více než "B" a na Crysis je to stejně málo...
Přihazuju padíka, abych autora povzbudil.
15.8.2008 18:13:04   89.176.207.xxx 135
Tech zasadnich chyb tam az tolik neni, spis mi chybi uceleny pohled (potazmo nadhled) na tuto problematiku. Ac jsem zde autorovi nektere veci vytykal, take kvituji jeho praci a nerad bych ho odradil od dalsich vytvoru.

Pokud se chcete opravdu zabyvat zaklady sitariny, doporucuji pana Peterky.

Ale to neznamena, ze by mohl vyjit nejaky serial i na pctuningu :-)
15.8.2008 18:18:20   89.176.207.xxx 135
Oprava:
Ale to neznamena, ze by nemohl vyjit nejaky serial i na pctuningu.

Uz mi to nemysli...pardon.
25.8.2008 15:42:37   212.20.110.xxx 123
hoj vsem , mam dotaz zaboha nemuzu prijt nato jak mam povolit pres wifi aby se mi mohli k netu pripojit jen pristroje podle mec adresy.
zaboha na to nemuzu prijit diky
28.8.2008 15:44:29   83.240.1.xxx 102
umisteni web serveru jak je popsano v nakresu topologie site se mi zda jako velka dira do site. levne SOHO routery jsou vetsinou jen hracky, jejichz moznosti filtrovani paketu jsou znacne omezene. web server by mel patrit predevsim do DMZ pokud mozno oddelene od vnitrni site. nedavno jsem takovy problem resil, stacil k tomu jen nmap a chudak levny SOHO router byl z toho tak spatny ze po cca 2hod. byl internet z vnitrni site nedostupny. vyresila to linuxova distribuce IPCop slouzici jako firewall nainstalovana na starickem 300MHz Cyrixu.

Redakce si vyhrazuje právo odstranit neslušné a nevhodné příspěvky. Případné vyhrady na diskuze(zavináč)pctuning.cz

114 čtenářů navrhlo autorovi prémii: 54.6Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.